Bind anfrage f. bestimmte Domänen weiterleiten

[HansHuber]

Hallo,

ich habe mir einen Bind server installiert um zentral alle möglichen Domänen zu blocken z. bsp. als Ad blocker oder ranswomware domains.
Funktioniert auch alles wie gewollt.
Ich blocke auch so gut wie alle root domains, weil ich die meisten eh nicht brauche.

Jetzt möchte ich aber Ausnahmen definieren. Um das verständlicher zu machen als Bsp.
Ich blocke die Root Domäne .tv , möchte aber http://www.prosieben.tv erlauben.
Dafür möchte ich die DNS Anfragen f. *.prosieben.tv an die google DNS server weiterleiten.

Jetzt war meine Idee ich trage in der named.conf f. die zone prosieben.tv eine separate Datei an.

Code: Alles auswählen

zone "prosieben.tv" {type master; file "/etc/bind/db.whitelist";};
zone "TV" {type master; file "/etc/bind/db.blocked";}; 

Die Datei db.whitelist sieht folgendermaßen aus.

Code: Alles auswählen

$TTL	604800
.	IN	SOA	google-public-dns-a.google.com. root.google.com. (
                 50     ; Serial
			 604800		; Refresh
			  86400		; Retry
			2419200		; Expire
			 604800     ; Negative Cache TTL
			 )	
        NS	google-public-dns-a.google.com.
        NS	google-public-dns-b.google.com.
google-public-dns-a.google.com.  3600000  A   8.8.8.8
google-public-dns-b.google.com.  3600000  A   8.8.4.4

ich habe es auch mit forward zone probiert und dafür in der Datei named.conf.options folgendes eingetragen

Code: Alles auswählen

options {
	directory "/var/cache/bind";
	forwarders {
	 8.8.8.8;
	 };
	dnssec-validation no;
	auth-nxdomain no;    # conform to RFC1035
	listen-on-v6 { any; };
	listen-on { any; };
};


 zone "prosieben.tv" IN {
     type forward;
     forward only; 
     forwarders {8.8.8.8;};
     };

Egal welche Variante, es wird immer das zurückgeliefert was in der db.blocked steht.

named-checkconf bringt auch keinen Fehler.

Ich habe jetzt schon gut 2 Tage im Netz gesucht, finde aber keine Lösung bzw. was bei mir falsch ist.

Gruss Hans

[bluestar]

Abhängig von der Bind-Version, die du einsetzt würde ich dir eher dazu raten, das Feature Response Policy Zone zu verwenden.
Dokumentation dazu findest du http://www.zytrax.com/books/dns/ch7/rpz.html

[HansHuber]

Abhängig von der Bind-Version, die du einsetzt würde ich dir eher dazu raten, das Feature Response Policy Zone zu verwenden.
Dokumentation dazu findest du http://www.zytrax.com/books/dns/ch7/rpz.html

Hallo,

vielen Dank für den Hinweis.Ich habe mir das angeschaut, auch auf mehren Seiten, verstehe es aber nicht wirklich.
Wenn ich das https://blog.bartlweb.net/2017/02/respo ... er-nutzen/ richtig verstehe geht es doch dabei darum einzelene Domänen durch eigene IP's oder Domänen aufzulösen.
Ich möchte aber das für bestimmte Hauptdomänen die Anfrage an die Google Server weitergeleitet wird und nicht von meinem Bind beantwortet wird.

Nochmal um es besser zu verdeutlichen.
Ich blocke die Root Domäne *.TV
Möchte aber wenn ich z. Bsp. www.prosieben.tv oder Irgendwas.prosieben.tv auflösen muss, das dies durch die Google Server gemacht wird. Den mein Bind Server würde sonst eine flasche IP zurückliefern, bei mir 127.0.0.1, da ich ja eigentlich alles mit .tv blocken will, nur eben bestimmte Domänen nicht.